Mailsploit绕过了DMARC,让攻击者在超CC防御过33个电子邮件客户端上发送欺骗的钓鱼电子-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 行业资讯 > Mailsploit绕过了DMARC,让攻击者在超CC防御过33个电子邮件客户端上发送欺骗的钓鱼电子

Mailsploit绕过了DMARC,让攻击者在超CC防御过33个电子邮件客户端上发送欺骗的钓鱼电子

小墨安全管家 2020-11-22 23:47 行业资讯 89 ℃
DDoS防御
我们在Bleepingcomputer的朋友报告了一些应该引起任何人关注的情况。德国安全研究人员Sabri Haddouche发觉了一组他统称为Mailsploit的漏洞,这些漏洞允许攻击者伪造电子邮件身份,在某些事情下,还会在用户的计算机上运行恶意代码。虽然Mailsploit的远程代码执行部分令人担忧,但真正的咨询题是电子邮件欺骗攻击,CC防御,它绕过了所有现代反欺骗爱护机制,如DMARC(DKIM/SPF)或各种垃圾邮件过滤器。这使得歹徒能够发送带有伪造身份的电子邮件,用户和电子邮件服务器都特别难将其检测为假货。这反过来又使得网络钓鱼攻击和恶意邮件更加难以发觉。Mailsploit的工作原理Mailsploit漏洞源于电子邮件服务器怎么解释用RFC-1342编码的电子邮件地址。这是1992年采纳的一具标准,描述了在电子邮件头中编码非ASCII字符的想法。依照规则,DDoS防御,电子邮件头中包含的所有内容都必须是ASCII字符。电子邮件标准的作者采纳RFC-1342自动将非ASCII字符转换为标准ASCII字符,幸免了带有非ASCII主题行或电子邮件地址的电子邮件经过服务器时浮上错误。Haddouche发觉,大量电子邮件客户端会猎取一具RFC-1342编码的字符串,将其解码为非ASCII状态,但不大概在之后对其举行清理以检查恶意代码。此外,假如RFC-1342解码的电子邮件字符串包含空字节或两个或更多电子邮件地址,则电子邮件客户端将只读取空字节之前的电子邮件地址,或它遇到的第一具有效电子邮件。这意味着攻击者能够创建一具有效的电子邮件地址,其用户名实际上是RFC-1342编码的字符串:起始:=?utf-8型?b?CG90DXNAD2HPDGVOB3VZS5NB3Y=?==?utf-8型?咨询?=00?==?utf-8型?b?CG90DXNAD2HPDGVOB3VZS5NB3Y=?=@mailsploit.com邮箱... 在电子邮件客户端中解码到:发件人:potus@whitehouse.gov网址\0个(potus@whitehouse.gov网址)@mailsploit.com网站红色=实际域,蓝色=实际用户名分析这些字符串的易受攻击的电子邮件客户端将只读取第一封电子邮件(potus@whitehouse.gov网址),忽略真正的电子邮件域(@mailsploit.com网站). 如上所述,缘由是空字节(\0)或potus@whitehouse.gov网址是客户端遇到的第一具有效电子邮件地址,并忽略字符串的其余部分。迄今受阻碍的33个电子邮件客户和服务Haddouche在今年早些时候发觉了Mailsploit的缺陷,他讲他测试了几个电子邮件客户端和web服务,看看哪些是易受攻击的。他在那个地点维护一具Google文档和他的发觉。虽然私下联系了所有易受攻击的电子邮件客户端和服务,研究人员讲,在33个公布的修补程序中,DDoS防御,惟独8个能纠正电子邮件地址解析错误。另外12家供应商测试了那个bug,但没有回应他们计划何时和是否修复那个咨询题,而另外12家供应商甚至没有承认那个bug报告。Mozilla和Opera表示,DDoS防御,从一开始就不大概修复那个bug,因为他们以为这是服务器端的咨询题。DMARC不大概检测到电子邮件欺骗更糟糕的是,经过Mailsploit想法编码的电子邮件地址在运行DMARC等反欺骗协议的现代电子邮件服务器上不大概显得可疑。Haddouche解释讲:"DMARC不大概受到直截了当攻击,而是经过利用客户端显示电子邮件发件人姓名的方式绕过。"服务器仍然正确验证原始域的DKIM签名,而不是伪造域的DKIM签名。"哈德杜奇讲:"这使得这些被欺骗的电子邮件在那个时候几乎无法阻挠。"。Mailsploit也能够在一些机器上运行代码此外,同样的Mailsploit缺陷允许攻击者在电子邮件的"From:"字段中躲藏多个电子邮件地址,也允许他们打包实际的恶意代码。一些在清理解码字符串方面做得很差的webmail客户端将执行此负载并在用户的计算机上运行恶意代码,例如XSS和其他代码注入攻击。好消息是,并非所有易受经过Mailsploit漏洞举行电子邮件欺骗的客户端都易受代码注入攻击,这意味着在某些事情下会举行一些差不多的电子邮件地址筛选。bleepingcomputer网站托管了一段视频,内容是Haddouche执行Mailsploit攻击并向iOS电子邮件客户端发送伪造的电子邮件。用户能够经过专家在一具特意网站上设置的演示小部件自个儿发送伪造的电子邮件。资料来源:https://www.bleepingcomputer.com/news/security/mailsploit-lets-攻击者-send-spoofed-emails-on-over-33-email-clients/免费网络钓鱼安全测试你懂吗,91%的成功数据泄露基本上从鱼叉式钓鱼攻击开始的?网络攻击正迅速变得越来越复杂。我们关心您经过新的学校安全意识培训来关心您的职员更好地治理社会工程、网络钓鱼和勒索软件攻击等紧急IT安全咨询题。如今就迈出第一步。找出你的职员中有多少人容易钓鱼™ 我们的免费测试即将猎取免费PSThbspt.cta公司.u relativeUrls=真;hbspt.cta.负载(241394,'d1679878-b879-4fea-951c-3013708e913d',{});附言:不爱慕点击重定向按钮?在扫瞄器中剪切并粘贴此链接:https://www.knowbe4.com/phishing-security-test-offer

Mailsploit绕过了DMARC,让攻击者在超过33个电子邮件客户端上发送欺骗的钓鱼电子邮件


DDoS防御

当前位置:主页 > 行业资讯 > Mailsploit绕过了DMARC,让攻击者在超CC防御过33个电子邮件客户端上发送欺骗的钓鱼电子

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119